 |
|
インターネット上の脅威は、質量ともに大きく変化した。この結果、クライアント側で定義ファイルを用いて防御するという従来型のアプローチが、効果を持たなくなってきている。こうした課題に対してトレンドマイクロは、クラウド技術を活用した新たな基盤「Trend Micro Smart Protection Network」で対処しようとしている。
| もはや「定義ファイルの更新」は100%の対策ではない | ||
 |
||
「ウイルス対策ソフトを導入しているし、定義ファイルも定期的に更新している。だから何らかの脅威が来ても大丈夫」――これは、確かに数年前までならば満点と言えたセキュリティ対策だ。しかし残念ながら、大きく性質を変えた最近の脅威に対しては効果を発揮しないケースがある。
「Blasterが大規模に感染を広げたころとはまるで状況が違う」――トレンドマイクロ マーケティング本部 総合政策担当マネージャーを務める小林伸二氏はこのように指摘する。脅威はいまや、迷惑メールやWebなど、複数のベクトルを使って感染を広げるようになった。また、ある特定の不正ファイルが無差別に攻撃を仕掛ける代わりに、特定の組織・企業や個人をねらい打ちにする、パーソナライズされた脅威が増えてきている。
| 最近の脅威の特徴は「巧妙化」と「量の圧倒的増加」 | ||
|
||
 |
| トレンドマイクロ マーケティング本部 総合政策担当マネージャー 小林伸二氏 |
小林氏によると、最近の脅威の特徴として大きく2つの傾向を挙げることができる。
1つは「悪質化」「巧妙化」だ。その代表例が、2009年初頭から感染を広げている「Conficker」である。Confickerは、複数の経路を使い分けて巧みに侵入し、被害を広げてきた。
Confickerは仕掛けを施した迷惑メールを大量に送り付け、それを開くと、自動的に不正なファイルがダウンロードされてしまう。この不正ファイルは単体で完結するわけではなく、さらに複数のWebサイトにアクセスして、ほかの不正ファイルを次々とダウンロードしてくる。中には、ウイルス対策ソフトベンダのWebサイトへのアクセスをブロックして定義ファイルの更新を妨げたり、偽の対策ソフトを売りつけたりするような亜種も登場する始末だ。
このConfickerの厄介なところは、次々に亜種が登場しており、定義ファイルを更新しても更新しても、最新の亜種に追い付けないことだ。トレンドマイクロの調査によると、Confickerのソースコードが流通しており、狙いに応じた亜種を容易に作成できる状態になっているという。
最近の脅威のもう1つの特徴は、これまでとは比べものにはならない「量」で攻めてくることだ。
トレンドマイクロによると、2008年の1年間だけで、1100万種類の「不正なファイル」が検出されたという。2.9秒に1種類という割合で新しい不正なファイルが登場している計算になる。2009年に入ってその数字はさらに悪化しており、2.5秒に1種類の割合に達している。しかもこうした不正ファイルや誘導路となる迷惑メールの発信元は、足が付かないように、ひんぱんに違う場所に移動している。たとえ、1時間前の情報に基づいてブロックしても、意味をなさない状況になりつつある。
なぜこれほど脅威が増加しているのだろうか。守る側にとっては1つでも取りこぼしてしまうと「アウト」だが、金銭になる情報を狙う攻撃者からすれば、100万通送ったとしても、1万人に1人の割合で引っかかってくれれば十分ペイするからだ。攻撃者の目的が、いたずらや愉快犯的なものから金銭狙いへと明確にシフトしていることを考えると、今後もその数は増え続けるだろう。それも、加速度的に。
| 定義ファイルでは追いつかない! 従来型対策の限界 | ||
|
||
攻撃側はこのようにどんどん変化しているが、防御側はどうか。残念ながら、本質的にはあまり変わっていないといえるだろう。
確かに、検体を入手してから定義ファイルに加えるまでのプロセスを自動化し、迅速に新しい脅威をブロックするための努力が進んでいる。また、いくつかの特徴を持った亜種をまとめて検出するヒューリスティック検出をはじめ、技術的にも進展してきた。ただいずれも、「定義ファイルに基づいてブラックリスト方式でマルウェアを照合し、不審なものを検出する」という、十数年続いてきたアプローチに基づいたものであることに代わりはない。
しかし、脅威の量の圧倒的な増加を前に、このアプローチに限界が見えつつある。
まず、増加する脅威を検出するために、定義ファイルのサイズがどんどん大きくなっている。これまでに登場したマルウェアをリストに加えていけば、自ずとファイルサイズは大きくなるが、PCを保護するには、その大きなファイルを頻繁に更新し続けなければならない。すると、いくら差分だけ更新するようにして効率を高めても、クライアントPCやネットワークに与える負荷は高まるばかりだ。
しかも、こうして頻繁に更新したとしても、亜種は次から次へと登場してくるため、必ずしも最新の脅威を検出できるとは限らない。量には量で対抗しようという作戦には、限界が見えている。
| ネットで起こる脅威はネットで防ぐ | ||
|
||
こうした限界を踏まえ、それを解決する手段として注目されているアプローチが「クラウドセキュリティ」だ。
クライアントに定義ファイルをダウンロードして検出する代わりに、この仕組みでは、クラウドの上に定義ファイルを置き、更新していく。クライアントは、適宜クラウドを参照しながら脅威を検出する。大きなサイズの定義ファイルを頻繁にダウンロードする必要がなくなるうえ、常に最新の情報を参照しながら対策できるようになる。
「Trend Micro Smart Protection Network」(SPN)は、それを具体化した技術であり、同社セキュリティ製品の基盤となるものだ。
 |
| 図1 Trend Micro Smart Protection Network(SPN)の仕組み |
SPNとは、顧客から見ると「ネットで起きている不正な活動が到達する前に解決してもらえる仕組み」(小林氏)だ。不正なファイルの侵入経路は、主に「電子メール」「Web」、そして「ファイル」の3種類だが、SPNではそれぞれについてレピュテーション(評価)情報を収集してクラウド上のデータベースに格納し、相関分析を加えながら最新の脅威に対処する仕組みを提供している。
| 3つのデータベースの相関分析で不正なもの同士の連携を把握 | ||
|
||
SPNは、Webサイトの安全性を評価する「Webレピュテーション」、電子メールの送信元IPアドレスを評価付けする「E-mailレピュテーション」、ファイルの情報を検査する「ファイルレピュテーション」という3つのデータベースにレピュテーション情報を格納し、互いに分析を加えながら、正確に脅威を検出できるようにしている。
「悪いものは互いに連携して動作している。そこでSPNでは、データベースの情報を元に不正なもの同士がどのように連携しているかを把握して、それを元に防御を行っている」(小林氏)。
例えば、短時間のうちに、複数のクライアントPCが同じ名前のファイルをダウンロードし、しかもそのファイルがシステムファイルに変更を加えるような現象があれば、何かおかしいと考えることができる。
そこで、不正なファイルの配信元となっているWebサイトや迷惑メールの送信元となっているサーバを見つけ、そのIPアドレスをSPNのデータベースに記録するとともに、不正ファイルや迷惑メールの特徴を分析する。同一のIPアドレスから、何か別のメールやファイルが送信されたとしたら、それも悪質なものである可能性が高い。そこで、メールなどの内容を分析し、不審なURLが記されていればその先もスキャンし、悪質なファイルが見つかればそのIPアドレスも登録する……こうした作業を繰り返して網を広げ、ネットのあちこちで発生している事象を把握することで、防御の確率を高めているわけだ。
SPNで行われている処理は大量だ。例えば1日当たりの問い合わせの処理数は50億件で、新たなIPアドレス/URL数は1日当たり約5000万件。これらにより、年間約2億5000万の不正プログラム検体を処理することができる。その処理状況を公開している「Pollution Tracker」を見れば、その規模を実感できるだろう。
 |
| 図2 Trend Micro Smart Protection Network(SPN)では3つのデータベースを相関分析し、大量の情報を高速処理している |
このように、3種類のデータベースを持ち、それらを密接に連携させることにより、脅威から迅速に防御しているベンダはほかにないと小林氏は説明する。IDC Japanがまとめたレポートでは、「世界最大級のドメインレピュテーションデータベース」という評価も得ているという。また、例えばWebレピュテーションならば、ドメイン単位ではなく、ページ単位で評価を下すことができたり、ボットの脅威を防ぐダイナミックIPをサポートするなど、ほかにはない機能も備えている。
| PC以外の機器にも防御を提供 | ||
|
||
SPNを活用すれば、これまでのようにパターンファイルのアップデートに日々注意を払わなくとも、クラウド側で常に最新のパターンファイルに基づいて検査を実施できる。この結果、管理者、エンドユーザーの双方で運用負担を軽減することができる。もちろん、クライアントPCのメモリやハードディスクを節約できるうえ、ネットワーク帯域の圧迫も減らすことが可能だ。
米オスターマン・リサーチがまとめたレポートによると、SPNを活用することで、ある5000人規模の企業では運用コストを約3000万円削減できたという。そもそも感染のリスクが低くなるため、脅威への対処にさいていた「見えないコスト」も削減できるだろう。
また、クライアントに大量のリソースを要求しないことから、PC以外の端末に対するセキュリティ対策も提供できるようになる。事実トレンドマイクロでは、SPNを活用して、アップルのiPhone向けに「Smart Surfing for iPhone and iPod touch」を、ソニー・コンピュータエンタテインメントのプレイステーション・ポータブル(PSP)向けに「トレンドマイクロ ウェブセキュリティ for PSP」をリリースしている。また、ほかのウイルス対策ソフトウェアが導入されている環境でも利用でき、危険なWebサイトへのアクセスを防止する「Trend Micro Web Protection Add-On」も提供している。このように、エンドポイントに多くのリソースを要求しないSPNは、防御のカバー範囲を広げる役にも立っている。
もちろん、トレンドマイクロが定義ファイル方式を捨て去ることはない。しかし「いまのペースで脅威が増え続けていくと、早晩、対処できなくなるだろう。マルウェアの方法が変わったのに、対策が変わらないわけにはいかない。SPNはその答えだ」(小林氏)。
|
提供:トレンドマイクロ株式会社
アイティメディア営業企画
制作:@IT 編集部
掲載内容有効期限:2009年7月16日
|
関連リンク |
|
関連記事 |
 マルウェア検査をクラウド上で、トレンドマイクロ(@ITNews) |
